Свидетельство о выдаче сертификата в Ajax звонит

Я считаю, что я уже знаю ответ на этот вопрос, но я хотел посмотреть, есть ли у кого-нибудь более глубокое понимание этой проблемы. Я сделал сертификацию в приложениях Android и iOS, чтобы сделать их более защищенными от людей в средних атаках. Мне любопытно, можно ли это сделать на веб-сайте, который выполняет Ajax-звонки? Я не думаю, что код JavaScript может быть изменен во время транспортировки, есть ли у кого-нибудь опыт с этим?Свидетельство о выдаче сертификата в Ajax звонит

источник

2016-04-01 Bobbake4

Возможно, вас заинтересует следующее: http://caniuse.com/#search=HPKP. У современных браузеров уже есть поддержка открытого ключа.

Также большая статья о предотвращении человека в середине атак (или их сделать труднее стащить - как это кажется «предотвращение» в контексте безопасности имеет относительное значение): http://blog.scottlogic.com/2016/02/01/man-in-the-middle.html

И если вы чувствуете авантюрный вы можете пойти на очень низкий уровень с собственной реализацией TLS в JavaScript: https://github.com/digitalbazaar/forge/blob/master/README.md

источник

2016-04-01 15:59:49

Это было очень информативно, спасибо за сообщения. Прочитав их, я провел еще несколько тестов и обнаружил, что пришел к другому вопросу относительно атак MITM. Если у вас есть понимание, это будет полезно, http://stackoverflow.com/questions/36504363/securing-web-server-against-mitm-in-safari – Bobbake4

Свидетельство о выдаче сертификата в Ajax звонит

ответ

Смежные вопросы